Oracle 重要补丁更新公告 — 2012 年 4 月


说明

重要补丁更新是针对多个安全漏洞的补丁集合。重要补丁更新补丁通常是累积式的,但是每个公告只描述自上一个重要补丁更新公告以来添加的安全修复程序。因此,要了解有关以前发布的安全修复程序的信息,应该查看以前的重要补丁更新公告。请参见:

重要补丁更新和安全警报,获得有关 Oracle 安全公告的信息。

考虑到攻击得逞所带来的威胁,Oracle 强烈建议客户尽快应用 CPU 修复程序。 该重要补丁更新包含针对下列产品系列的 88 个新的安全修复程序。

Oracle 在 2012 年 1 月 31 日发布了安全警报,用于解决安全性问题 CVE-2011-5035,这是在多个 Oracle 产品中因散列冲突引起的一个拒绝服务漏洞。请参阅安全警报 (CVE-2011-5035),获得受影响的产品列表和可用补丁信息。

受影响的产品和组件

该重要补丁更新解决的安全漏洞将影响以下按类别列出的产品。针对所列版本的补丁的产品领域显示在与指定的“产品和版本”列对应的“可用补丁”列中。请单击下面的“可用补丁”列中或可用补丁表中的链接,查看这些补丁的文档。

下面是 Oracle 终身支持政策下标准支持或扩展支持所涵盖的受影响的产品版本列表:

受影响的产品和版本可用补丁
Oracle Database 11g 第 2 版,版本 11.2.0.2、11.2.0.3数据库
Oracle Database 11g 第 1 版,版本 11.1.0.7数据库
Oracle Database 10g 第 2 版,版本 10.2.0.3、10.2.0.4、10.2.0.5数据库
Oracle Application Server 10g 第 3 版,版本 10.1.3.5.0融合中间件
Oracle BI Publisher,版本 10.1.3.4.1、10.1.3.4.2融合中间件
Oracle DB UM Connector for Oracle Identity Manager,版本 9.1.0.4融合中间件
Oracle Identity Manager 11g,版本 11.1.1.3、11.1.1.5融合中间件
Oracle JDeveloper,版本 10.1.3.5.0融合中间件
Oracle JRockit,版本 R28.2.2 及早期版本、R27.7.1 及早期版本融合中间件
Oracle Outside In Technology,版本 8.3.5、8.3.7融合中间件
Oracle WebCenter Forms Recognition,版本 10.1.3.5融合中间件
Enterprise Manager Grid Control 11g 第 1 版,版本 11.1.0.1Enterprise Manager
Enterprise Manager Grid Control 10g 第 1 版,版本 10.2.0.5Enterprise Manager
Oracle E-Business Suite 第 12 版,版本 12.0.4、12.0.6、12.1.1、12.1.2、12.1.3E-Business Suite
Oracle E-Business Suite 第 11i 版,版本 11.5.10.2E-Business Suite
Oracle Agile,版本 6.0.0Supply Chain
Oracle AutoVue,版本 20.0.2Supply Chain
Oracle PeopleSoft Enterprise CRM,版本 9.1PeopleSoft
Oracle PeopleSoft Enterprise HCM,版本 9.1PeopleSoft
Oracle PeopleSoft Enterprise HRMS,版本 8.9、9.0、9.1PeopleSoft
Oracle PeopleSoft Enterprise FCSM,版本 9.0、9.1PeopleSoft
Oracle PeopleSoft Enterprise PeopleTools,版本 8.50、8.51、8.52PeopleSoft
Oracle PeopleSoft Enterprise Portal,版本 9.1PeopleSoft
Oracle PeopleSoft Enterprise SCM,版本 9.0、9.1PeopleSoft
Oracle Siebel Life Sciences,版本 8.0.0、8.1.1、8.2.2卫生科学
Oracle FLEXCUBE Direct Banking,版本 5.0.2、5.3.0-5.3.4、6.0.1、6.2.0联系 Oracle 客户支持
Oracle FLEXCUBE Universal Banking,版本 10.0.0-10.5.0、11.0.0-11.4.0联系 Oracle 客户支持
Primavera P6 Enterprise Project Portfolio Management,版本 6.2.1、8.0、8.1、8.2Primavera
Oracle Sun 产品套件Oracle Sun 产品套件
Oracle MySQL Server,版本 5.1、5.5Oracle MySQL 产品套件


可用补丁表与风险表

使用累积式补丁的产品

重要补丁更新中的 Oracle 数据库、Oracle 融合中间件、Oracle Enterprise Manager Grid Control、Oracle E-Business Suite 管理软件、JD Edwards EnterpriseOne、JD Edwards OneWorld Tools、PeopleSoft Enterprise Portal 管理软件、PeopleSoft Enterprise PeopleTools、Siebel Enterprise、行业管理软件、FLEXCUBE、Primavera 和 Oracle VM 补丁均是累积式的。换言之,重要补丁更新中包括的任何这些产品的补丁都包含之前的重要补丁更新中针对相应产品的所有修复程序。有关累积式和非累积式补丁的详细信息,请查阅下表中各产品组的可用补丁文档。

可用补丁表

对于所管理的每个 Oracle 产品,请查阅下表中提到的有关可用补丁信息和安装说明的文档。有关与该重要补丁更新相关的 Oracle 产品文档概述,请参阅 2012 年 4 月 Oracle 重要补丁更新文档概述 My Oracle Support 说明 1395797.1


产品分组风险表可用补丁和安装信息
Oracle 数据库Oracle 数据库风险表2012 年 4 月补丁集更新和重要补丁更新可用性文档,My Oracle Support 说明 1406574.1
Oracle 融合中间件Oracle 融合中间件风险表2012 年 4 月补丁集更新和重要补丁更新可用性文档,My Oracle Support 说明 1406574.1
Oracle Enterprise ManagerOracle Enterprise Manager 风险表2012 年 4 月补丁集更新和重要补丁更新可用性文档,My Oracle Support 说明 1406574.1
Oracle 管理软件 — E-Business SuiteOracle 管理软件,E-Business Suite 风险表2012 年 4 月 Oracle E-Business Suite 重要补丁更新说明,My Oracle Support 说明 1406263.1
Oracle 管理软件 — Oracle Supply Chain 和 PeopleSoft Enterprise 产品套件Oracle Supply Chain 产品风险表
Oracle PeopleSoft Enterprise 风险表		针对 PeopleSoft Enterprise 和 Oracle Supply Chain Suite 产品的重要补丁更新知识文档,My Oracle Support 说明 1447505.1
Oracle 卫生科学产品套件Oracle 行业管理软件风险表2012 年 4 月重要补丁更新中针对 Oracle 卫生科学产品套件的补丁发布文档,My Oracle Support 说明 1437749.1
Oracle FLEXCUBE 产品套件Oracle Financial Services 软件风险表联系 Oracle 客户支持以获得补丁
Oracle Primavera 产品套件Oracle Primavera 产品套件风险表2012 年 4 月重要补丁更新中针对 Oracle Primavera 产品套件的补丁发布文档,My Oracle Support 说明 1444634.1
Oracle Sun 产品套件Oracle Sun 产品套件风险表2012 年 4 月重要补丁更新中针对 Oracle Sun 产品套件的补丁发布文档,My Oracle Support 说明 1446032.1
Oracle MySQL ServerOracle MySQL 风险表2012 年 4 月重要补丁更新中针对 Oracle Sun 产品套件的补丁发布文档,My Oracle Support 说明 1446032.1

风险表内容

风险表只列出公告涉及到的补丁新近修复的安全漏洞。之前的安全修复程序的风险表包含在之前的重要补丁更新公告中。在此可获取本文档中提供的风险表的英语文本版本。

该重要补丁更新提出的几个漏洞影响着多个产品。每个漏洞都通过一个漏洞号来标识,该编号是相应漏洞的唯一标识符。一个影响多个产品的漏洞将在所有风险表中显示相同的漏洞号斜体 表明其他产品领域中包含的代码中的漏洞。

安全漏洞使用 CVSS 2.0 版进行评估(请参阅用于解释 Oracle 如何应用 CVSS 2.0 的 Oracle CVSS 评估系统)。Oracle 对重要补丁更新 (CPU) 解决的各个安全漏洞进行了分析。Oracle 不公开有关安全性分析的信息,但会在生成的风险表和相关文档中提供有关漏洞类型、利用漏洞所需的条件以及利用得逞的潜在影响的信息。Oracle 部分地提供了这些信息,以便客户可以根据他们产品使用的特殊性分析自己的风险。出于政策方面的原因,Oracle 不会透露有关可能会导致漏洞利用得逞的利用条件或结果的详细信息。Oracle 不提供除 CPU 或安全警报通知、可用补丁表、自述文件和常见问题解答所提供信息以外的其他具体漏洞信息。Oracle 不向个别客户提供有关 CPU 或安全警报的预先通知。最后,Oracle 不会针对产品漏洞发布可利用的入侵代码或验证性代码。有关详细信息,请参阅 Oracle 漏洞公开政策

风险表中的协议暗示其所有安全变体(如果适用)也将受到影响。例如,如果列出 HTTP 为受影响协议,则暗示 HTTPS(如果适用)也将受到影响。

解决方法

考虑到攻击得逞所带来的威胁,Oracle 强烈建议客户尽快应用 CPU 修复程序。如果不应用 CPU 修复程序,则无法通过阻止攻击所需的网络协议来降低攻击得逞的风险。对于需要特定权限或者需要访问特定程序包的攻击,对不需要这些权限的用户删除这些权限或者使其无法访问这些程序包可能有助于降低攻击得逞的风险。这两种方法都有可能损害应用程序功能,因此 Oracle 强烈建议客户在非生产系统上测试更改。这两种方法都不能更正底层问题,因此都不能作为长期解决方案。

漏掉的重要补丁更新

Oracle 强烈建议客户尽快应用安全修复程序。如果客户漏掉了一个或多个重要补丁更新,担心该 CPU 中未公布其修复程序的产品出现安全问题,请查看以前的重要补丁更新公告以确定要采取的行动。

产品相关性

某些 Oracle 产品可能依赖于其他 Oracle 产品。因此,该重要补丁更新中发布的安全漏洞修复程序可能影响一个或多个相关的 Oracle 产品。有关这些相关产品以及对相关产品应用补丁的详细信息,请参阅 2012 年 4 月补丁集更新和重要补丁更新可用性文档,My Oracle Support 说明 1406574.1

重要补丁更新支持的产品和版本

只有终身支持政策的标准支持或扩展支持阶段中涵盖的产品版本才提供重要补丁更新补丁。建议客户规划产品升级,以确保当前运行的版本可以应用重要补丁更新补丁。

没有对未涵盖在标准支持或扩展支持之下的产品版本测试过是否存在该重要补丁更新提出的安全漏洞。但是,很可能受影响的版本的那些早期版本也会受这些安全漏洞的影响。

受支持的数据库、融合中间件、Oracle Enterprise Manager 基础平台(以前的“Oracle Enterprise Manager Grid Control”)和 Collaboration Suite 产品根据软件错误更正支持政策(参见 My Oracle Support 说明 209768.1)进行修补。有关支持政策和支持阶段的详细指南,请查看技术支持政策

处于扩展支持阶段的产品

已购买终身支持政策下的扩展支持的客户可以使用重要补丁更新补丁。客户必须具有有效的扩展支持服务合同,才能在扩展支持阶段下载重要补丁更新补丁。

应请求 模式

Oracle 仅为客户要针对下一个重要补丁更新(基于历史数据)下载的平台/版本组合预先创建补丁。只要客户要求,我们将为以前固定的 Oracle 数据库、Oracle 应用服务器和 Enterprise Manager 的平台/版本组合创建补丁。

有关“应请求”补丁的更多详情,请参阅 2012 年 4 月补丁集更新和重要补丁更新可用性文档,My Oracle Support 说明 1406574.1

致谢声明

该重要补丁更新修复的安全漏洞由以下人员或组织向 Oracle 报告:Red Database Security 的 Alexander Kornbrust;与 TippingPoint 的零时差项目合作的 Andrea Micalizzi aka rgod;TippingPoint DVLabs 的 Brian Gorenc;Dave Love;V3rity 的 David Litchfield;Edward Torkington;Application Security, Inc. 的 Esteban Martinez Fayo;Frank Stuart;TippingPoint 零时差项目的 G & W Laboratories;Recx 的 Nathan Catlow;LYNX Ltd. 的 Peter Maklary;IBM Canada 的 Pierre Ernst;Security-Assessment.com 的 Roberto Suggi Liverani;Network Intelligence 的 Shrikant Antre 和 Sunil Yadav;Sow Ching Shiong,通过 Secunia 报告;Vishal K;以及 William Hay。

深度安全贡献者

Oracle 向那些为我们的深度安全计划作出贡献的人表示感谢(参见常见问题解答)。对于导致在以后版本中大量修改 Oracle 代码或文档但是严重程度不足以归类到重要补丁更新中的安全漏洞问题,如果有人提供相关的信息、发现或建议,则会因为深度安全作出贡献而受到褒奖。

在此重要补丁更新公告中,Oracle 向以下为 Oracle 深度安全计划作出贡献的人们表示感谢:Red Database Security 的 Alexander Kornbrust;iSIGHT Partners Global Vulnerability Partnership 的 Joxean Koret;以及 Integrigy 的 Stephen Kost。

重要补丁更新时间表

重要补丁更新在距 1 月、4 月、7 月和 10 月的第 17 日最近的星期二发布。接下来的四个日期为:

  • 2012 年 7 月 17 日
  • 2012 年 10 月 16 日
  • 2013 年 1 月 15 日
  • 2013 年 4 月 16 日

参考资料


修改记录


2012 年 4 月 17 日修订版 1。初始版本

 

附录 — Oracle 数据库服务器

 

 

Oracle 数据库服务器执行概要

 

该重要补丁更新包含 6 个适用于 Oracle 数据库服务器的新安全修复程序。其中 3 个漏洞无需身份验证即可远程利用,即可以通过网络使用这些漏洞而无需用户名和口令。其中 1 个修复程序适用于仅客户端的安装(即,没有安装 Oracle 数据库服务器的安装)。在此可获取此风险表的英语文本形式。

 

Oracle 数据库服务器风险表


漏洞号组件协议所需的程序包和/或权限无需身份验证即可远程利用?CVSS 版本 2.0 风险(参阅风险表定义受影响的支持版本说明
基本评分访问途径访问复杂性身份验证机密性完整性可用性
CVE-2012-0552Oracle SpatialOracle NET具备创建会话、创建索引、更改索引、创建表的权限9.0网络一次性10.2.0.3、10.2.0.4、10.2.0.5、11.1.0.7、11.2.0.2、11.2.0.3参见注释 1
CVE-2012-0519Core RDBMSOracle NET具备创建库、创建过程的权限7.1网络一次性11.2.0.2参见注释 2
CVE-2012-0510Core RDBMSOracle Net6.4网络部分部分10.2.0.3、10.2.0.4、10.2.0.5、11.1.0.7 
CVE-2012-0511OCIOracle NET6.4网络部分部分10.2.0.3、10.2.0.4、11.1.0.7 
CVE-2012-0528 (Oracle Enterprise Manager Grid Control)Enterprise Manager Base PlatformHTTPSecurity Framework5.8网络部分部分10.2.0.3、10.2.0.4、10.2.0.5、11.1.0.7 
CVE-2012-0512 (Oracle Enterprise Manager Grid Control)Enterprise Manager Base PlatformHTTPEnterprise Config Management5.5网络一次性部分+部分+11.1.0.7、11.2.0.2 
CVE-2012-0525 (Oracle Enterprise Manager Grid Control)Enterprise Manager Base PlatformHTTPEnterprise Config Management4.9网络一次性部分+部分11.1.0.7、11.2.0.2、11.2.0.3 
CVE-2012-1708Application ExpressHTTP4.3网络部分4.0、4.1 
CVE-2012-0526 (Oracle Enterprise Manager Grid Control)Enterprise Manager Base PlatformHTTPSchema Management4.3网络部分10.2.0.3、10.2.0.4、10.2.0.5、11.1.0.7、11.2.0.2、11.2.0.3 
CVE-2012-0527 (Oracle Enterprise Manager Grid Control)Enterprise Manager Base PlatformHTTPSchema Management4.3网络部分10.2.0.3、10.2.0.4、10.2.0.5、11.1.0.7、11.2.0.2、11.2.0.3 
CVE-2012-0520 (Oracle Enterprise Manager Grid Control)Enterprise Manager Base PlatformHTTPSecurity Framework4.3网络部分10.2.0.3、10.2.0.4、10.2.0.5、11.1.0.7、11.2.0.2 
CVE-2012-0534RDBMS CoreOracle Net具备创建会话的权限4.0网络一次性部分10.2.0.3、10.2.0.4、10.2.0.5、11.1.0.7、11.2.0.2、11.2.0.3 
 

 

注:

  1. CVSS 基本评分仅对 Windows 为 9.0 分。对于 Linux、Unix 和其他平台 CVSS 基本评分为 6.5,而且对机密性、完整性以及可用性的影响评为“部分+”。
  2. 该漏洞仅影响 Microsoft Windows 平台。

 

仅具有 Oracle 数据库服务器客户端的安装

本重要补丁更新中包括的下列 Oracle 数据库服务器漏洞影响仅具有客户端的安装:CVE-2012-0511。


 

附录 — Oracle 融合中间件

 

 

Oracle 融合中间件执行概要

 

该重要补丁更新包含 11 个适用于 Oracle 融合中间件的新安全修复程序。其中 9 个漏洞无需身份验证即可远程利用,即可以通过网络使用这些漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。

Oracle 融合中间件产品包括受 Oracle 数据库部分中所列漏洞影响的 Oracle 数据库组件。Oracle 融合中间件产品暴露在危险中的程度取决于所使用的 Oracle 数据库版本。Oracle 数据库安全修复程序未列在 Oracle 融合中间件风险表中。然而,由于影响 Oracle 数据库版本的漏洞可能影响 Oracle 融合中间件产品,Oracle 建议客户将 2012 年 4 月的重要补丁更新应用于 Oracle 融合中间件产品的 Oracle 数据库组件。有关您的环境需要应用哪些补丁的信息,请参阅 2012 年 4 月的重要补丁更新中针对 Oracle 产品的可用补丁文档 My Oracle Support 说明 1406574.1

而且,从 2012 年 4 月的重要补丁更新开始,适用于 Oracle JRockit 的安全漏洞修复程序将随 Oracle 重要补丁更新(而不是 Oracle Java SE 重要补丁更新)一起公布。

 

 

Oracle 融合中间件风险表


漏洞号组件协议子组件无需身份验证即可远程利用?CVSS 版本 2.0 风险(参阅风险表定义受影响的支持版本说明
基本评分访问途径访问复杂性身份验证机密性完整性可用性
CVE-2012-1695Oracle JRockit多个-10.0网络28.2.2 及之前版本:JDK/JRE 5 和 6、27.7.1 及之前版本:JKD/JRE 5 和 6参见注释 1
CVE-2012-0554Oracle Outside In TechnologyOutside In Image Export SDK7.5网络部分+部分+部分+8.3.5、8.3.7参见注释 2
CVE-2012-0555Oracle Outside In TechnologyOutside In Image Export SDK7.5网络部分+部分+部分+8.3.5、8.3.7参见注释 2
CVE-2012-0556Oracle Outside In TechnologyOutside In Image Export SDK7.5网络部分+部分+部分+8.3.5、8.3.7参见注释 2
CVE-2012-0557Oracle Outside In TechnologyOutside In Image Export SDK7.5网络部分+部分+部分+8.3.5、8.3.7参见注释 2
CVE-2012-1709Oracle WebCenter Forms RecognitionHTTPDesigner7.5网络部分部分部分10.1.3.5 
CVE-2012-1710Oracle WebCenter Forms RecognitionHTTPDesigner7.5网络部分部分部分10.1.3.5 
CVE-2012-0532Identity ManagerHTTPUser Config Management5.5网络一次性部分+部分+11.1.1.3、11.1.1.5 
CVE-2012-0543BI Publisher(以前为 XML Publisher)HTTPAdministration4.3网络部分10.1.3.4.1、10.1.3.4.2 
CVE-2012-0522Oracle JDeveloperHTTPJava Business Objects4.3网络部分10.1.3.5 
CVE-2012-0515Identity Manager 连接器HTTPDatabase User4.0网络一次性部分+9.1.0.4 
 

 

注:

  1. Oracle 发布了 2012 年 2 月 Java SE 重要补丁更新来解决影响 Java 运行时环境的多个漏洞。Oracle CVE-2012-1695 指的是 Java SE 重要补丁更新中适用于 JRockit 的公告漏洞。在 JRockit 已修复的漏洞中,这个漏洞号的 CVSS 评分最高。JRockit 中在 CVE-2012-1695 下解决的所有漏洞的完整列表如下:CVE-2012-0497、CVE-2012-0498、CVE-2012-0499、CVE-2011-3563、CVE-2012-0501 和 CVE-2011-5035。
  2. Outside In Technology 是一个软件开发工具包 (SDK) 套件。它没有任何特定的相关协议。确定此漏洞的 CVSS 评分时,我们假设托管软件通过网络公开此功能而无需身份验证。如果情况并非如此,则 CVSS 评分可能更低。

 

附录 — Oracle Enterprise Manager Grid Control

 

 

Oracle Enterprise Manager Grid Control 执行概要

 

该重要补丁更新包含 6 个适用于 Oracle Enterprise Manager Grid Control 的新安全修复程序。其中 4 个漏洞无需身份验证即可远程利用,即可以通过网络使用这些漏洞而无需用户名和口令。所有这些修复程序都不适用于仅客户端的安装(即,没有安装 Oracle Enterprise Manager Grid Control 的安装)。在此可获取此风险表的英语文本形式。

Oracle Enterprise Manager 产品包括 Oracle 数据库和 Oracle 融合中间件组件,这些组件受 Oracle 数据库Oracle 融合中间件部分中所列漏洞的影响。Oracle Enterprise Manager 产品暴露在危险中的程度取决于所使用的 Oracle 数据库和 Oracle 融合中间件版本。Oracle 数据库和 Oracle 融合中间件安全修复程序未列在 Oracle Enterprise Manager 风险表中。然而,由于影响 Oracle 数据库和 Oracle 融合中间件版本的漏洞可能影响 Oracle Enterprise Manager 产品,Oracle 建议客户将 2012 年 4 月的重要补丁更新应用于 Enterprise Manager 的 Oracle 数据库和 Oracle 融合中间件组件。有关您的环境需要应用哪些补丁的信息,请参阅 2012 年 4 月的重要补丁更新的可用补丁文档 My Oracle Support 说明 1406574.1

 

Oracle Enterprise Manager Grid Control 风险表


漏洞号组件协议子组件无需身份验证即可远程利用?CVSS 版本 2.0 风险(参阅风险表定义受影响的支持版本说明
基本评分访问途径访问复杂性身份验证机密性完整性可用性
CVE-2012-0528Enterprise Manager Base PlatformHTTPSecurity Framework5.8网络部分部分-参见注释 1
CVE-2012-0512Enterprise Manager Base PlatformHTTPEnterprise Config Management5.5网络一次性部分+部分+-参见注释 1
CVE-2012-0525Enterprise Manager Base PlatformHTTPEnterprise Config Management4.9网络一次性部分+部分10.2.0.5、11.1.0.1 
CVE-2012-0526Enterprise Manager Base PlatformHTTPSchema Management4.3网络部分10.2.0.5 
CVE-2012-0527Enterprise Manager Base PlatformHTTPSchema Management4.3网络部分10.2.0.5 
CVE-2012-0520Enterprise Manager Base PlatformHTTPSecurity Framework4.3网络部分10.2.0.5、11.1.0.1 
 

 

注:

  1. 在所有支持的版本和补丁集中得到修复。

 

附录 — Oracle 管理软件

 

 

Oracle E-Business Suite 执行概要

 

该重要补丁更新包含 4 个适用于 Oracle E-Business Suite 的新安全修复程序。所有这些漏洞都无需身份验证即可远程利用,即可以通过网络使用这些漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。

Oracle E-Business Suite 产品包括 Oracle 数据库和 Oracle 融合中间件组件,这些组件受 Oracle 数据库Oracle 融合中间件部分中所列漏洞的影响。Oracle E-Business Suite 产品暴露在危险中的程度取决于所使用的 Oracle 数据库和 Oracle 融合中间件版本。Oracle 数据库和 Oracle 融合中间件安全修复程序未列在 Oracle E-Business Suite 风险表中。然而,由于影响 Oracle 数据库和 Oracle 融合中间件版本的漏洞可能影响 Oracle E-Business Suite 产品,Oracle 建议客户将 2012 年 4 月的重要补丁更新应用于 Oracle E-Business Suite 的 Oracle 数据库和 Oracle 融合中间件组件。有关您的环境需要应用哪些补丁的信息,请参阅 2012 年 4 月的 Oracle E-Business Suite 重要补丁更新 My Oracle Support 说明 1406263.1

 

Oracle E-Business Suite 风险表


漏洞号组件协议子组件无需身份验证即可远程利用?CVSS 版本 2.0 风险(参阅风险表定义受影响的支持版本说明
基本评分访问途径访问复杂性身份验证机密性完整性可用性
CVE-2012-0537Oracle Application Object LibraryHTTPHTML 页面6.4网络部分+部分+12.1.3 
CVE-2012-0535Oracle Application Object LibraryHTTP更改口令页面5.0网络部分12.0.6、12.1.3 
CVE-2012-0513Oracle Application Object LibraryHTTPREST 服务2.6网络部分12.0.6、12.1.3 
CVE-2012-0542Oracle iStoreHTTPRuntime Catalog2.6网络部分11.5.10.2、12.0.4、12.0.6、12.1.1、12.1.2、12.1.3 
 

 



 

Oracle Supply Chain 产品套件执行概要

 

该重要补丁更新包含 5 个适用于 Oracle Supply Chain 产品套件的新安全修复程序。其中 4 个漏洞无需身份验证即可远程利用,即可以通过网络使用这些漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。

 

Oracle Supply Chain 产品套件风险表


漏洞号组件协议子组件无需身份验证即可远程利用?CVSS 版本 2.0 风险(参阅风险表定义受影响的支持版本说明
基本评分访问途径访问复杂性身份验证机密性完整性可用性
CVE-2012-0549Oracle AutoVue OfficeHTTPDesktop API7.5网络部分部分部分20.0.2 
CVE-2012-0565Oracle AgileHTTPInstall5.5网络一次性部分+部分+6.0.0 
CVE-2012-0580Oracle Agile PLM for ProcessHTTPSupplier Portal5.0网络部分6.0.0 
CVE-2012-0581Oracle AgileHTTPSCRM - Company Profiles4.3网络部分6.0.0 
CVE-2012-0566Oracle AgileHTTPSupplier Portal4.3网络部分6.0.0 
 

 



 

Oracle PeopleSoft 产品执行概要

 

该重要补丁更新包含 15 个适用于 Oracle PeopleSoft 产品的新安全修复程序。其中 1 个漏洞无需身份验证即可远程利用,即可以通过网络使用此漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。

 

Oracle PeopleSoft 产品风险表


漏洞号组件协议子组件无需身份验证即可远程利用?CVSS 版本 2.0 风险(参阅风险表定义受影响的支持版本说明
基本评分访问途径访问复杂性身份验证机密性完整性可用性
CVE-2012-0564PeopleSoft Enterprise PeopleToolsHTTPQuery6.5网络一次性部分+部分+部分+8.50、8.51 
CVE-2012-0517PeopleSoft Enterprise HRMSHTTPeCompensation Manager Desktop5.5网络一次性部分部分9.0 
CVE-2012-0538PeopleSoft Enterprise PeopleToolsHTTPSearch5.5网络一次性部分+部分+8.50、8.51、8.52 
CVE-2012-0560PeopleSoft Enterprise PeopleToolsHTTPPortal4.3网络部分8.50、8.51、8.52 
CVE-2012-0514PeopleSoft Enterprise CRMHTTPSEC4.0网络一次性部分9.1 
CVE-2012-0533PeopleSoft Enterprise FCSMHTTPReceivables4.0网络一次性部分9.0、9.1 
CVE-2012-0521PeopleSoft Enterprise HCMHTTPHuman Resources4.0网络一次性部分9.1 Bundle #9 
CVE-2012-0562PeopleSoft Enterprise HRMSHTTPCandidate Gateway4.0网络一次性部分9.1 
CVE-2012-0536PeopleSoft Enterprise HRMSHTTPeCompensation4.0网络一次性部分8.9 直到 Bundle #26 
CVE-2012-0559PeopleSoft Enterprise SCMHTTPBilling4.0网络一次性部分9.0、9.1 
CVE-2012-0530PeopleSoft Enterprise SCMHTTPeProcurement4.0网络一次性部分9.0、9.1 
CVE-2012-0561PeopleSoft Enterprise PeopleToolsHTTPPIA Core Technology3.5网络一次性部分8.50、8.51、8.52 
CVE-2012-0529PeopleSoft Enterprise PeopleToolsHTTPcore3.5网络一次性部分8.51 
CVE-2012-0531PeopleSoft Enterprise PortalHTTPEnterprise Portal3.5网络一次性部分9.1 
CVE-2012-0524PeopleSoft Enterprise PeopleToolsHTTPFile Processing3.2本地一次性部分部分8.50、8.51、8.52 
 

 


 

附录 — Oracle 行业管理软件

 

 

Oracle 行业管理软件执行概要

 

该重要补丁更新包含 2 个适用于 Oracle 行业管理软件的新安全修复程序。这两个漏洞都需要身份验证实现远程利用,即需要用户名和口令才能通过网络使用这些漏洞。在此可获取此风险表的英语文本形式。

 

Oracle 行业管理软件风险表


漏洞号组件协议子组件无需身份验证即可远程利用?CVSS 版本 2.0 风险(参阅风险表定义受影响的支持版本说明
基本评分访问途径访问复杂性身份验证机密性完整性可用性
CVE-2012-0582Siebel ClinicalHTTPWeb UI4.0网络一次性部分7.7、7.8、8.0.0.x、8.1.1.x、8.2.2.x 
CVE-2012-1674Siebel ClinicalHTTPWeb UI4.0网络一次性部分7.7、7.8、8.0.0.x、8.1.1.x、8.2.2.x 
 

 


 

附录 — Oracle Financial Services 软件

 

 

Oracle Financial Services 软件执行概要

 

该重要补丁更新包含 17 个适用于 Oracle Financial Services 软件的新安全修复程序。其中 1 个漏洞无需身份验证即可远程利用,即可以通过网络使用此漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。

联系 Oracle 客户支持以获得 Oracle FLEXCUBE Universal Banking 和 Oracle FLEXCUBE Direct Banking 修复程序。

 

Oracle Financial Services 软件风险表


漏洞号组件协议子组件无需身份验证即可远程利用?CVSS 版本 2.0 风险(参阅风险表定义受影响的支持版本说明
基本评分访问途径访问复杂性身份验证机密性完整性可用性
CVE-2012-0575Oracle FLEXCUBE Universal BankingHTTPCore6.8网络部分部分部分10.0.0 - 10.5.0、11.0.0 - 11.2.0 
CVE-2012-0567Oracle FLEXCUBE Universal BankingHTTPCore5.5网络一次性部分部分10.0.0 - 10.5.0、11.0.0 - 11.2.0 
CVE-2012-0573Oracle FLEXCUBE Universal BankingHTTPCore4.9网络一次性部分部分10.0.0 - 10.5.0、11.0.0 - 11.4.0 
CVE-2012-1706Oracle FLEXCUBE Direct BankingFileLogging4.7网络多次部分部分5.0.2、5.3.0 - 5.3.4、6.0.1、6.2.0 
CVE-2012-1707Oracle FLEXCUBE Direct BankingHTTPCore-Base4.0网络一次性部分5.0.2、5.3.0 - 5.3.4、6.0.1、6.2.0 
CVE-2012-0576Oracle FLEXCUBE Direct BankingHTTPCore-Help4.0网络一次性部分6.0.1、6.2.0 
CVE-2012-0571Oracle FLEXCUBE Universal BankingHTTPCore4.0网络一次性部分10.0.0 - 10.5.0、11.0.0 - 11.4.0 
CVE-2012-0545Oracle FLEXCUBE Universal BankingHTTPCore3.6网络一次性部分部分10.0.0 - 10.5.0、11.0.0 - 11.2.0 
CVE-2012-0546Oracle FLEXCUBE Universal BankingHTTPCore3.6网络一次性部分部分10.0.0 - 10.5.0、11.0.0 - 11.2.0 
CVE-2012-1704Oracle FLEXCUBE Direct BankingHTTPCore-Base3.5网络一次性部分5.0.2、5.3.0 - 5.3.4、6.0.1、6.2.0 
CVE-2012-0509Oracle FLEXCUBE Direct BankingHTTPCore-Base3.5网络一次性部分5.0.2、5.3.0 - 5.3.4 
CVE-2012-1679Oracle FLEXCUBE Direct BankingHTTPCore-Base3.5网络一次性部分5.0.2、5.3.0 - 5.3.4、6.0.1、6.2.0 
CVE-2012-0541Oracle FLEXCUBE Direct BankingHTTPCore-My Services3.5网络一次性部分5.0.2、5.3.0 - 5.3.4、6.0.1、6.2.0 
CVE-2012-1676Oracle FLEXCUBE Direct BankingHTTPVirtual Banking3.5网络一次性部分5.0.2、5.3.0 - 5.3.4、6.0.1、6.2.0 
CVE-2012-0544Oracle FLEXCUBE Universal BankingHTTPCore3.5网络一次性部分10.0.0 - 10.5.0、11.0.0 - 11.4.0 
CVE-2012-0577Oracle FLEXCUBE Universal BankingHTTPCore3.5网络一次性部分10.0.0 - 10.5.0、11.0.0 - 11.4.0 
CVE-2012-0579Oracle FLEXCUBE Universal BankingHTTPCore3.5网络一次性部分10.0.0 - 10.5.0、11.0.0 - 11.4.0 
 

 


 

附录 — Oracle Primavera 产品套件

 

 

Oracle Primavera 产品套件执行概要

 

该重要补丁更新包含 1 个适用于 Oracle Primavera 产品套件的新安全修复程序。此漏洞无需身份验证即可远程利用,即可以通过网络使用此漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。

 

Oracle Primavera 产品套件风险表


漏洞号组件协议子组件无需身份验证即可远程利用?CVSS 版本 2.0 风险(参阅风险表定义受影响的支持版本说明
基本评分访问途径访问复杂性身份验证机密性完整性可用性
CVE-2012-0558Primavera P6 Enterprise Project Portfolio ManagementHTTPWeb 应用程序4.3网络部分6.2.1、8.0、8.1、8.2 
 

 


 

附录 — Oracle Sun 产品套件

 

 

Oracle Sun 产品套件执行概要

 

该重要补丁更新包含 15 个适用于 Oracle Sun 产品套件的新安全修复程序。其中 5 个漏洞无需身份验证即可远程利用,即可以通过网络使用这些漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。

 

Oracle Sun 产品套件风险表


漏洞号组件协议子组件无需身份验证即可远程利用?CVSS 版本 2.0 风险(参阅风险表定义受影响的支持版本说明
基本评分访问途径访问复杂性身份验证机密性完整性可用性
CVE-2012-0208Oracle Grid EngineRSHqrsh9.0网络一次性6.1、6.2 
CVE-2012-0523Oracle Grid Enginesgepasswd7.2本地6.1、6.2 
CVE-2012-0550GlassFish Enterprise ServerHTTPWeb 容器6.8网络部分部分部分GlassFish Enterprise Server 3.1.1 
CVE-2012-0516Oracle iPlanet Web ServerHTTPAdministration Console6.8网络部分+部分+部分+7.0 
CVE-2012-1691SolarisKernel/Privileges6.6本地一次性11 
CVE-2012-1694SolarisTCP/IPlibsasl(3LIB)6.4网络部分部分10 
CVE-2012-0539Solarisbsmconv(1M)、bsmunconv(1M)6.2本地8、9、10 
CVE-2012-1683Solarisgssd(1M)5.9本地多次8、9、10、11 
CVE-2012-0551GlassFish Enterprise ServerHTTPWeb 容器5.8网络部分部分GlassFish Enterprise Server 3.1.1 
CVE-2012-1681SolarisKernel/sockfs4.9本地8、9、10、11 
CVE-2012-1692SolarisSCTP(7P)4.9本地10 
CVE-2012-1684SolarisPassword Policy4.3本地一次性部分部分部分8、9、10、11 
CVE-2012-1693SPARC Enterprise M 系列服务器SSHXSCF Control Package (XCP)2.6网络部分+XCP 1110 
CVE-2012-0548SPARC Enterprise M 系列服务器XSCF Control Package (XCP)2.1本地部分XCP 1110 及早期版本 
CVE-2012-1698SolarisTCP/IPKernel/GLD(7D)2.1网络一次性部分11 
 

 


 

附录 — Oracle MySQL

 

 

Oracle MySQL 执行概要

 

该重要补丁更新包含 6 个适用于 Oracle MySQL 的新安全修复程序。这些漏洞都需要身份验证实现远程利用,即需要用户名和口令才能通过网络使用这些漏洞。在此可获取此风险表的英语文本形式。

 

Oracle MySQL 风险表


漏洞号组件协议子组件无需身份验证即可远程利用?CVSS 版本 2.0 风险(参阅风险表定义受影响的支持版本说明
基本评分访问途径访问复杂性身份验证机密性完整性可用性
CVE-2012-1703MySQL ServerMySQL ProtocolServer Optimizer6.8网络一次性5.1.61 及早期版本、5.5.21 及早期版本 
CVE-2012-0583MySQL ServerMySQL ProtocolMyISAM4.0网络一次性部分+5.1.60 及早期版本、5.5.19 及早期版本 
CVE-2012-1697MySQL ServerMySQL ProtocolPartition4.0网络一次性部分+5.5.21 及早期版本 
CVE-2012-1688MySQL ServerMySQL ProtocolServer DML4.0网络一次性部分+5.1.61 及早期版本、5.5.21 及早期版本 
CVE-2012-1696MySQL ServerMySQL ProtocolServer Optimizer4.0网络一次性部分+5.5.19 及早期版本 
CVE-2012-1690MySQL ServerMySQL ProtocolServer Optimizer4.0网络一次性部分+5.1.61 及早期版本、5.5.21 及早期版本